Добавить цифровую подпись для дистрибутива и исполняемых файлов

[sergey-s-betke]

Стоит предусмотреть несколько подписей для максимальной совместимости:

It is also possible to sign your binaries using SHA1 and SHA2 to guarantee a maximal compatibility. However it can only work for binaries (.exe) and not for .msi installers. To do so, simply execute the two following commands:

    signtool sign /f yourFile.pfx /p password /t "http://timestamp.verisign.com/scripts/timstamp.dll" /fd SHA1 "PATH_TO_EXECUTABLE"

    signtool sign /as /f yourFile.pfx /p password /tr "http://sha256timestamp.ws.symantec.com/sha256/timestamp" /td SHA256 /fd SHA256 "CHEMIN_VERS_VOTRE_EXECUTABLE"

The first command is used to sign the file using SHA1, the second one, SHA2. The SHA2 signature is set as default. The timestamping server for the SHA1 signature is using Microsoft's format. The example is valid for Symantec certificates. If your want a RFC3161 compliant SHA1 signaure, you can use the following server : http://timestamp.geotrust.com/tsa

[sergey-s-betke]

Всё-таки, при подписи будет разумно использовать pfx файл (хотя бы при подписи через signtool). Заодно, при подписи через signtool стоит попробовать добавить вторичную подпись для максимальной совместимости с современными ОС.

[sergey-s-betke]

Множественные подписи для msi не поддерживаются... Поэтому отказываемся от этой идеи, обойдёмся подписью SHA1.